简介
本文档介绍如何使用从思科邮件安全设备(ESA)上的各种命令中检索到的邮件日志来确定邮件的处理情况。
先决条件
本文档中的信息基于:
邮件跟踪
如果运行AsyncOS for Email 6.0版或更高版本,则确定特定邮件发生情况的最有效方法是使用“监控”(Monitor)选项卡中的“邮件跟踪”(Message Tracking)页面。这样,您就可以在易于使用的网络界面中使用各种选项进行搜索。
如果运行较旧版本或需要收集所有日志行以进行故障排除,请使用grep或findevent命令,如下一节所述。
Findevent命令
如果您使用的是AsyncOS for Email版本5.1.2或更高版本,CLI findevent命令可简化搜索特定邮件的过程。通过Findevent,您可以按信封发件人、信封收件人或邮件Subject进行搜索。无论情况如何,这都可以实现。找到消息后,您可以返回与该消息相关的每个日志行。如果运行不带参数的findevent,它会启动向导以引导您完成该过程。与往常一样,您可以使用help命令学习短形式:
> help findevent
findevent [-i] [-f from | -s subject | -t to] log_name
findevent -m mid log_name
第一个表单在指定的log_name内搜索从、主题或信封到的特定信封,并列出匹配的邮件ID(MID)。-i标志可用于不区分大小写的搜索。
第二个窗体显示给定MID的所有日志行。
如果版本较旧,可以使用CLI grep命令完成相同任务。但是,使用grep命令需要更详细地了解ESA如何记录消息事件。
Grep命令
搜索邮件日志时,第一个挑战就是查找邮件。如果您搜索发件人、收件人或主题,则可以执行此操作。找到邮件后,必须了解邮件日志的组织方式。内容安全邮件日志事件以缩写形式提供。最重要的事件是ICID、MID、RID和DCID。
注入连接ID(ICID):当远程主机建立与设备的连接时,该连接会分配一个ICID。一个ICID可以生成多个MID。
注意:ICID 0定义从自身注入的消息。实际上,ICID或DCID后面的数字0是指向设备的本地环路地址开放或从设备本地环路地址打开的会话。
MID:一旦建立连接,每个成功的简单邮件传输协议(SMTP)邮件都来自:命令可创建新的MID。单个MID可以生成多个RID。
收件人ID(RID):每个收件人(收件人:抄送:或者Bcc获得RID。RID只会在出现软退回(连接错误)并重新尝试传送时生成多个DCID。
传送连接ID(DCID):到达同一目的域的每个接收方都收到相同的DCID,直到达到接收系统的限制。因此,如果消息的所有接收者都转到同一个域,则所有RID都有一个DCID。相反,如果每个RID进入一个单独的域,则存在一对一的关联。
注意:DCID 0定义了从未发送过的消息。实际上,ICID或DCID后面的数字0是指向设备的本地环路地址开放或从设备本地环路地址打开的会话。
通常,当您找到您的消息时,会找到其MID。然后您会寻找MID并确定ICID和RID。使用ICID,您可以确定发件人的SenderBase信誉得分(SBRS)。使用RID,然后使用DCID,您可以确定当ESA尝试传送时发生了什么情况。
注意:一旦您拥有MID、ICID和DCID,就可以检索该消息的所有行,如果消息来源不早于您最早的邮件日志,则可以检索一个grep。
example.com> grep -e " MID 11123" -e " ICID 11092" -e " DCID 23349" mail_logs
示例
- 搜索邮件主题:
example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> test
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Mon Jan 23 10:25:03 2006 Info: SMTP listener testpairlist starting
Tue Jan 24 12:10:15 2006 Info: Message aborted MID 8 Dropped by filter
'testdrop'
Tue Jan 31 23:55:38 2006 Info: MID 32 Subject 'testmsgquarantine'
Wed Feb 1 00:23:59 2006 Info: MID 62 Subject 'testmsgquarantine'
Wed Feb 1 00:27:48 2006 Info: MID 64 Subject 'testmsg2'
Wed Feb 1 22:30:37 2006 Info: MID 80 Subject 'test zip'
Wed Feb 1 22:37:51 2006 Info: MID 83 Subject 'FW: test zip'
Wed Feb 1 22:41:50 2006 Info: MID 84 Subject 'FW: test zip'
Fri Feb 3 15:17:47 2006 Info: MID 94 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
这会生成多个匹配项,这些匹配项包含主题中的test。邮件大约在下午3:42发送,因此您可以使用该MID进行下一次搜索。
以下是有关问题需要注意的一些要点:
- 是否希望此搜索不区分大小写?[Y]>
如果对此问题回答是,则无论大小写都查找条目。
- 是否要跟踪日志?[N]>
如果对此问题回答Yes,则仅在生成新条目时查找这些条目。它不会搜索所有日志文件。选择No以搜索所有日志。
- 是否要对输出进行分页?[N]>
如果对此问题回答是,则每次显示一页条目。如果您需要执行常规搜索并期望检索许多条目,这将非常有用。这将阻止条目从显示中滚出。
- 搜索MID:
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> MID 96
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:41:43 2006 Info: Start MID 96 ICID 10394
Fri Feb 3 15:41:43 2006 Info: MID 96 ICID 10394 From: <bob@example.net>
Fri Feb 3 15:41:58 2006 Info: MID 96 ICID 10394 RID 0 To:
<nasir@example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Message-ID
<4o8836$30@mail.example.com>
Fri Feb 3 15:42:06 2006 Info: MID 96 Subject 'test'
Fri Feb 3 15:42:06 2006 Info: MID 96 ready 23 bytes from
<bob@example.net>
Fri Feb 3 15:42:06 2006 Info: MID 96 matched all recipients for
per-recipient policy DEFAULT in the outbound table
Fri Feb 3 15:42:06 2006 Info: MID 96 antivirus negative
Fri Feb 3 15:42:06 2006 Info: MID 96 queued for delivery
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: MID 96 RID [0] Response '2.6.0
<4o8836$30@mail.example.com> Queued mail for delivery'
Fri Feb 3 15:42:06 2006 Info: Message finished MID 96 done
请注意,MID条目提供有关如何处理邮件的更多信息。MID条目还引用ICID和DCID。如果您想了解有关传入连接的更多信息,grep表示ICID。如果您想了解有关ESA尝试传送时发生的详细信息,请对DCID执行grep。
- 要确定消息送达的位置,请搜索DCID。
mail.example.com> grep
Currently configured logs:
16. "mail_logs" Type: "IronPort Text Mail Logs" Retrieval: FTP Poll
Enter the number of the log you wish to grep.
[]> 16
Enter the regular expression to grep.
[]> DCID 14
Do you want this search to be case insensitive? [Y]>
Do you want to tail the logs? [N]>
Do you want to paginate the output? [N]>
Fri Feb 3 15:42:06 2006 Info: New SMTP DCID 14 interface 192.168.0.199
address 10.1.1.112 port 25
Fri Feb 3 15:42:06 2006 Info: Delivery start DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:06 2006 Info: Message done DCID 14 MID 96 to RID [0]
Fri Feb 3 15:42:11 2006 Info: DCID 14 close
请注意,消息是通过端口25从192.168.0.199接口发送到IP地址为10.1.1.112的主机的。
如果未尝试传送,但邮件已排队等待传送,则表明系统在与目标服务器通信时可能遇到困难。您可以从CLI使用hoststatus查看收件人主机的状态是否为Down,并验证已排序的IP是否与目标域的SMTP路由或公共MX记录(如果适用)匹配。
反馈